Articles avec le tag « qa »

• Pourquoi mon Amcache.hve est-il vide ?

  Trois causes courantes : le Compatibility Appraiser est désactivé, l'hôte vient d'être fraîchement imagé, ou vous collectez depuis un Server / Server Core où l'appraiser s'exécute beaucoup moins souvent.

  2026-05-24

• Qui a créé AmcacheParser ?

  Eric Zimmerman, ancien agent spécial du FBI et actuel Senior Director chez Kroll, a créé AmcacheParser dans le cadre de sa suite d'outils DFIR open-source.

  2026-05-24

• Où se trouve la clé de registre Amcache ?

  Amcache est sa propre ruche située à C:\Windows\AppCompat\Programs\Amcache.hve — pas une clé sous HKLM. Quand elle est chargée par des outils ou par Windows lui-même, elle est montée comme HKLM\Amcache.

  2026-05-24

• Que contient Amcache.hve ?

  Amcache.hve contient des enregistrements d'inventaire pour chaque binaire PE, pilote et périphérique connecté que le Compatibility Appraiser Windows a vu — avec hashes SHA-1, chemins, éditeurs et horodatages.

  2026-05-24

• Qu'est-ce qu'un fichier .pf vs une entrée Amcache ?

  Les fichiers .pf sont des enregistrements Windows Prefetch — preuve qu'un binaire s'est exécuté, avec horodatages d'exécution et listes de fichiers chargés. Les entrées Amcache enregistrent la présence, avec le hash SHA-1 et les métadonnées.

  2026-05-24

• AmcacheParser est-il gratuit ?

  Oui. AmcacheParser est gratuit pour tout usage, y compris le travail DFIR commercial, publié sous une licence permissive par Eric Zimmerman.

  2026-05-24

• Amcache.hve est-il un fichier de log ?

  Non. Amcache.hve est une ruche du registre Windows — une arborescence structurée clé-valeur dans le même format binaire que SYSTEM et NTUSER.DAT — pas un log plat.

  2026-05-24

• Comment lire Amcache.hve sous Linux ou macOS ?

  Trois options : dotnet AmcacheParser.dll avec le runtime .NET, le parser basé sur navigateur de ce site (sans installation), ou tout outil basé sur libhivex. Aucun ne nécessite Windows.

  2026-05-24

• À quelle fréquence Amcache est-il mis à jour ?

  Le Compatibility Appraiser met à jour Amcache.hve environ quotidiennement sur les postes Windows 10/11, tous les 2-5 jours sur les serveurs, et hebdomadairement ou plus sur Server Core.

  2026-05-24

• Amcache enregistre-t-il les DLL ?

  Oui — à partir de Windows 10 build 1709, Amcache enregistre les DLL aux côtés des EXE dans InventoryApplicationFile. Les ruches antérieures à 1709 peuvent ne pas le faire.

  2026-05-24

• Amcache peut-il être effacé par des attaquants ?

  Oui — un attaquant avec des droits admin peut éditer ou supprimer Amcache.hve, mais le nettoyage est détectable : les Volume Shadow Copies, les journaux de transactions et le propre log de l'appraiser préservent généralement l'état antérieur.

  2026-05-24

• Quelle est la différence entre Amcache et AppCompatCache ?

  Amcache est une ruche du registre plus riche, maintenue par l'appraiser, avec hashes et métadonnées. AppCompatCache (ShimCache) est un blob de registre plus petit, maintenu par le loader, avec chemins et horodatages uniquement.

  2026-05-24